Doctolib : Existe-t-il des failles dans la gestion de vos données de santé ?

Doctolib : Existe-t-il des failles dans la gestion de vos données de santé ?
Written by admin

Après avoir été accusée de mal protéger les données de ses utilisateurs, l’entreprise Doctolib a publiquement démenti.

Le site internet Doctolib a révolutionné le système médical en facilitant largement la prise de rendez-vous. L’entreprise française compte aujourd’hui plus de 50 millions d’utilisateurs, et possède un chiffre d’affaires annuel de 150 à 200 millions d’euros.

Cependant, cette numérisation de la santé fragiliser les données personnelles médicales de la population.

Si Doctolib a longtemps déclaré préserver les informations de ses utilisateurs, une enquête Radio France affirme que ce ne serait pas demandé le cas.

Que révèle l’enquête ?

L’affaire est basée sur un problème de codage. En 2020, Doctolib s’était félicité d’utiliser un chiffrement de “bout en bout”.

Cette technique informatique de protection des données, permet de garantir à l’utilisateur que seul lui et son médecin peuvent accéder à ses informations de santé.

Cependant, cette technique ne serait pas utilisée pour toutes les données du patient.

D’après France Info, les informations concernant les rendez-vous des utilisateurs (date, heure, motif)ne seraient pas chiffrées “de bout en bout”.

Si une personne lambda ne peut pas accéder à ces données, un spécialiste explique que certains employés de chez Doctolib comme “les responsables des sauvegardes, les administrateurs système, ceux qui gèrent le réseau et les serveurs” y ont accès.

La réponse de Doctolib

Lors de leur enquête, Radio France a contacté Doctolib qui aurait reconnu que les rendez-vous ne sont pas “chiffrés de bout en bout”, pour des raisons apparemment techniques.

Pourquoi le chiffrement de bout-en-bout n’est-il pas utilisé pour les rendez-vousu2753

Pour une raison simple : garantir le bon fonctionnement de nos services, comme l’envoi de SMS de rappel. À notre connaissance, aucun service en Europe n’applique cette méthode sur des rendez-vous.

— Doctolib (@doctolib) 20 mai 2022

Cependant, après la publication de l’enquête, Doctolib a déclaré révélé : “c’est faux”avant de reprendre point par point les accusations.

Selon eux, seul un nombre très restreint du personnel pourrait éventuellement avoir accès aux données d’un utilisateur.

Mais ils déclarent que :” Tous les accès sont accordés, révoqués, audités, contrôlés et respecte un processus strict et centralisé”.

(3) Ces salariés ont des habilitations temporaires, retirées à la fin de la résolution du problème de l’utilisateur. Tous les accès sont accordés, révoqués, audités, contrôlés et respectent un processus strict et centralisé (certification ISO 27001).

— Doctolib (@doctolib) 20 mai 2022

Quelles informations sont donc vraies ?

Les informations concernant les rendez-vous des patients seraient bel et bien accessibles à une personne tierce, mais à certaines occasions seulement.

(2) À la demande d’un praticien ou d’un patient et sous leur supervision, un nombre restreint de salariés habilités doit pouvoir avoir accès à un nombre limité d’informations pour pouvoir porter assistance à nos utilisateurs.

— Doctolib (@doctolib) 20 mai 2022

Vos données de santé Doctolib ne devrait donc pas être utilisé ou utilisé, au moins qu’un employé autorisé transgresse les règles.

Alexandra Iteanuavocate au barreau de Paris et spécialiste en protection des données explique tout de même “Les rendez-vous médicaux sont des données personnelles de santé” et “devraient être protégés de la même manière”.

Leave a Comment